3.18 Linux 防火墙

1、iptables 概述
a. 概念介绍

自Centos7.X开始,系统自带的防火墙是filewalld,但是也同样支持iptables, 我们仍然可以用iptables来作为防火墙。

netfilter/iptables:IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables 组成。

netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。

iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。

netfilter/iptables 简称为iptables。 iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle、raw四张表。所有规则配置后,立即生效,不需要重启服务

-----------------------

四张表介绍

① filter:负责过滤数据包,包括的规则链有,input,output和forward;

② nat:则涉及到网络地址转换,包括的规则链有,prerouting,postrouting和output;

③ mangle:表则主要应用在修改数据包内容上,用来做流量整形的,给数据包打个标识,默认的规则链有:INPUT、OUTPUT、forward、POSTROUTING、PREROUTING;

④ raw:主要用于异常处理,PREROUTING、OUTPUT

注意:表间的优先顺序:raw > mangle > nat > filter

五个链介绍

① input:匹配目标IP是本机的数据包,

② output: 出口数据包,一般不在此链上做配置

③ forward:匹配流经本机的数据包,

④ prerouting:用来修改目的地址,用来做DNAT,如:把内网中的80端口映射到路由器外网端口上,来自公网数据包

⑤ postrouting:用来修改源地址用来做SNAT,如:内网通过路由器NAT转换功能实现内网PC机通过一个公网IP地址上网。发往公网数据包

链间的匹配顺序

  • 入站数据:PREROUTING、INPUT
  • 出站数据:OUTPUT、POSTROUTING
  • 转发数据:PREROUTING、FORWARD、POSTROUTING

链内的匹配顺序

  • 自顶向下按书序依次进行检查,找到相匹配的规则即停止
  • 若在该链内找不到相匹配的规则,则按该链的默认策略处理

注意:规则的次序非常关键,谁的规则越严格,应该放在越靠前,而检查规则的时候,是按照从上往下的方式进行检查。

整体数据包分三类:1、发给防火墙本身的数据包 ;2、需要经过防火墙转发的数据包;3、由运行在本机的程序封装的并发出去的数据包;

  • ① 当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。
  • ② 如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。
  • ③ 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
b. 安装配置
# 关闭firewalld
systemctl stop firewalld
systemctl disable firewalld

# 安装iptables
yum install -y iptables-services

# 查看配置文件
cat /etc/sysconfig/iptables

# 启动服务
systemctl start iptables
c. iptables 命令

语法:iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转]

注意事项:

  • 不指定表名时,默认是filter表
  • 不指定链名时,默认表示该表内所有链
  • 除非设置规则链的缺省策略,否则需要指定匹配条件。
管理选项
  • -A <链名> 追加一条规则(放到最后)APPEND
  • -I <链名> [规则号码] 插入一条规则
  • -D <链名><规则号码 | 具体规则内容> 删除一条规则
  • -P <链名><动作> 设置某个链的默认规则
  • -F [链名] 清空规则
  • -Z 将封包计数器归零
  • -L [链名] 列出规则
    • v:显示详细信息,包括每条规则的匹配包数量和匹配字节数
    • x:在v 的基础上,禁止自动单位换算(K、M)
    • n:只显示IP 地址和端口号码,不显示域名和服务名称

添加注意:

  • -t filter 可不写,不写则自动默认是 filter 表
  • -I 链名 [规则号码],如果不写规则号码,则默认是 1
  • 确保规则号码 ≤ (已有规则数 + 1),否则报错

删除注意:

  • 若规则列表中有多条相同的规则时,按内容匹配只删除序号最小的一条
  • 按号码匹配删除时,确保规则号码 ≤ 已有规则数,否则报错
  • 按内容匹配删除时,确保规则存在,否则报错
# 拒绝所有人访问服务器,
# 在filter表的INPUT链里追加一条规则(作为最后一条规则),所有访问本机 IP 的数据包,匹配到的丢弃
iptables -t filter -A INPUT -j DROP   

# 在 filter 表的 INPUT 链里插入一条规则(插入成第 1 条)
iptables -I INPUT -s 192.168.1.1 -j DROP
# 在 filter 表的 INPUT 链里插入一条规则(插入成第 5 条)
iptables -I INPUT 5 -j DROP

# 删除filter表中的第五条规则
iptables -D INPUT 5

# 按照内容匹配删除
iptables -D INPUT -s 192.168.1.1 -j DROP


# 设置 filter 表 INPUT 链的默认规则是 DROP
iptables -P INPUT DROP
  • 当数据包没有被规则列表里的任何规则匹配到时,按此默认规则处理。
  • 动作前面不能加-j,这也是唯一一种匹配动作前面不加 -j 的情况。

# 清除INPUT链上的规则
iptables -F INPUT   
# 清除filter表中所有链上的规则
iptables -F  
# 清空NAT表中所有链上的规则
iptables -t nat -F  
# 清空NAT表中  PREROUTING
iptables -t nat -F PREROUTING  
  • -F 仅仅是清空链中规则,并不影响 -P 设置的默认规则。 需要手动改:
  • -P 设置了 DROP 后,使用 -F 一定要小心!!!在生产环境中,使用-P DROP 这条规则,一定要小心,设置之前最好配置下面两个任务计划,否则容易把自己drop掉,链接不上远程主机。
  • 如果不写链名,默认清空某表里所有链里的所有规则
 # 粗略列出 filter 表所有链及所有规则
iptables -L

# 用详细方式列出 nat 表所有链的所有规则,只显示 IP 地址和端口号
iptables -t nat -vnL 

# 用详细方式列出filter表所有字段的所有规则以及详细数字
iptables -vxnL 

匹配条件
  • -p 协议类型。可以是TCP、UDP、ICMP 等,也可为空
  • -i、-o 流入、流出接口。-i 参数主要应用于nat表,例如目标地址转换
  • -s、-d 来源、目的地址。可以是IP、 网段、域名,也可空(任何地址)
  • --sport、--dport 来源、目的端口。可以是个别端口,可以是端口范围。必须联合-p 使用,必须指明协议类型是什么
# 匹配是否从网络接口 eth0 进来
-i eth0  
# 匹配是否从网络接口 ppp0 进来
-i ppp0 
# 匹配是否从网络接口 eth0 出去
-o eth0  
# 匹配是否从网络接口 ppp0 出去
-o ppp0  


# 匹配来自 192.168.0.1 的数据包
-s 192.168.0.1
# 匹配来自 192.168.1.0/24 网络的数据包
-s 192.168.1.0/24
# 匹配来自 192.168.0.0/16 网络的数据包
-s 192.168.0.0/16  


# 按协议类型匹配
-p tcp
-p udp
-p icmp --icmp-type

# 匹配源端口是 1000 的数据包
--sport 1000
# 匹配源端口是 1000-3000 的数据包(含1000、3000)
--sport 1000:3000 
# 匹配源端口是 3000 以下的数据包(含 3000)
--sport :3000 
# 匹配源端口是 1000 以上的数据包(含 1000)
--sport 1000: 



# 匹配网络中目的端口是 53 的 UDP 协议数据包
-p udp --dport 53 

# 匹配来自 10.1.0.0/24 去往 172.17.0.0/16 的所有数据包
-s 10.1.0.0/24 -d 172.17.0.0/16 

# 匹配来自 192.168.0.1,去往 www.abc.com 的 80 端口的 TCP 协议数据包
-s 192.168.0.1 -d www.abc.com -p tcp --dport 80 
处理方式
  • -j ACCEPT 通过,允许数据包通过本链而不拦截它
  • -j DROP 丢弃,阻止数据包通过本链而丢弃它
  • -j SNAT --to IP[-IP][:端口-端口] 源地址转换(nat表的POSTROUTING 链)。SNAT 支持转换为单IP,也支持转换到IP 地址池(一组连续的IP 地址。
  • -j DNAT --to IP[-IP][:端口-端口] 目的地址转换(nat 表的 PREROUTING 链)。DNAT 支持转换为单 IP,也支持转换到 IP 地址池。
  • -j MASQUERADE 伪装,动态源地址转换(动态IP 的情况下使用)
# 允许所有访问本机 IP 的数据包通过
iptables -A INPUT -j ACCEPT  

# 阻止来源地址为 192.168.80.39 的数据包通过本机
iptables -A FORWARD -s 192.168.80.39 -j DROP 

# 将内网 192.168.0.0/24 的原地址修改为 1.1.1.1,用于 NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1 
# 将内网 192.168.0.0/24 的原地址修改地址池IP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24  -j SNAT --to 1.1.1.1-1.1.1.10

# 把从eth0 进来的要访问 TCP/80 的数据包目的地址改为 192.168.0.1
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.1 
# 把从 eth0 进来的要访问 TCP/80 的数据包目的地址改为 192.168.0.1-192.168.0.10
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.1-192.168.0.10

# 将源地址是 192.168.0.0/24 的数据包进行地址伪装,转换成eth0上的IP地址。eth0为路由器外网出口IP地址
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE 
按包状态匹配

语法:-m state --state 状态

状态

描述

NEW

如果我们发送一个连接的初始化包,状态就会在OUTPUT链里被设置为NEW,当我们收到回应的包时,状态就会在PREROUTING链里被设置为ESTABLISHED。如果第一个包不是本地产生的,那就会在PREROUTING链里被设置为NEW状态。

ESTABLISHED

连接态

RELATED

衍生态(如FTP的数据连接是与控制连接相关的,所以数据连接在规则链被设置为RELATED状态)

INVALID

不能被识别属于哪个连接或没有任何状态

iptables -A INPUT -m state --state RELATED,ESTABLISHED  -j ACCEPT
按来源MAC匹配

语法:-m mac --mac-source MAC

注意:报文经过路由后,数据包中原有的mac 信息会被替换,所以在路由后的 iptables 中使用 mac 模块是没有意义的。

# 阻断来自某 MAC 地址的数据包,通过本机
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP 
按包速率匹配

语法:-m limit --limit 匹配速率 [--burst 缓冲数量]

注意:limit 英语上看是限制的意思,但实际上只是按一定速率去匹配而已,50/s表示1秒中转发50个数据包,要想限制的话后面要再跟一条 DROP。

iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s  -j ACCEPT
iptables -A FORWARD -d 192.168.0.1 -j DROP
多端口匹配

语法:-m multiport <--sports|--dports|--ports> 端口1[,端口2,..,端口n]

注意: 必须与-p 参数一起使用

d. 实验案例

① 配置vsftp服务器主动模式iptables规则

iptables -F
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 默认情况一般服务与本机通讯以127.0.0.1来通讯的。
iptables -A INPUT -i lo -j ACCEPT 
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 允许其他机器 ping 本机
iptables -A INPUT -p icmp -j ACCEPT  
iptables -A INPUT -j DROP

② 配置web服务器iptables防火墙

iptables  -F
iptables -A INPUT -i lo -j ACCEPT   #放行环回口所有数据
iptables -A INPUT -p tcp -m multiport --dports 22,80 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# 允许已经建立tcp连接的包以及该连接相关的包通过。
# 状态防火墙能识别TCP或者UDP会话。非状态防火墙只能根据端口识别,不能识别会话
iptables -P INPUT DROP

注:一般iptables,OUTPUT出口一般都放行,不需要在出口上做限制。这样允许服务器主动访问外网

保存:service iptables save

-----------------------------------

2、firewalld 概念介绍

Firewalld 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。

我们首先需要弄明白的第一个问题是到底什么是动态防火墙。为了解答这个问题,我们先来回忆一下iptables service 管理防火墙规则的模式:用户使用命令添加防火墙的规则,如果想让规则永久保存,还需要再执行命令 iptables-save>/etc/sysconfig/iptables使变更的规则保存到配置文件里。在这整个过程的背后,iptables service 会对防火墙的规则列表全部重读一次,加载到内核.

如果我们把这种哪怕只修改一条规则也要进行所有规则的重新载入的模式称为静态防火墙的话,那么firewalld 所提供的模式就可以叫做动态防火墙,它的出现就是为了解决这一问题,任何规则的变更都不需要对整个防火墙规则列表进行重新加载,只需要将变更部分保存并更新到运行中的iptables 即可。

a. firewalld 和 iptables

firewalld 提供了一个 daemon 和 service,还有命令行和图形界面配置工具,它仅仅是替代了 iptables service 部分,其底层还是使用 iptables 作为防火墙规则管理入口。firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结构以及使用方法不一样罢了。

b. 区域(zone)概念

一个zone就是一套过滤规则,数据包必须要经过某个zone才能入站或出站。不同zone中规则粒度粗细、安全强度都不尽相同。可以把zone看作是一个个出站或入站必须经过的安检门,有的严格、有的宽松、有的检查的细致、有的检查的粗略。

zone 默认共有9个,不同的区域之间的差异是其对待数据包的默认行为不同,根据区域名字我们可以很直观的知道该区域的特征,在CentOS7系统中,默认区域被设置为public.

c. firewalld 配置文件

/etc/firewalld/ 存放修改过的配置(优先查找,找不到再找默认的配置)

/usr/lib/firewalld/ 默认的配置

修改配置的话只需要将/usr/lib/firewalld中的配置文件复制到/etc/firewalld中修改。恢复配置的话直接删除/etc/firewalld中的配置文件即可。

比如 ssh服务默认运行在22端口,如果你的ssh服务运行在220端口(不是默认),此时需要放行220端口,就需要把/usr/lib/firewalld/ssh.xml 文件拷贝到 /etc/firewalld/services/ 目录下,修改文件端口为220。重启firewalld服务或者重新加载设置,以激活这些设置firewall-cmd --reload

d. service 配置的优点

第一,通过服务名字来管理规则更加人性化,

第二,通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。每加载一项service 配置就意味着开放了对应的端口访问。

firewall-cmd --get-services   #列出所有支持的 service
firewall-cmd --list-services     #查看当前 zone 种加载的 service
3、firewalld 命令

你可以使用任何一种firewalld 配置工具来配置或者增加区域,以及修改配置。工具有 firewall-config 图形界面工具,firewall-cmd命令行工具。

# 安装
yum install firewalld

# 启动
systemctl start firewalld
# 查看状态
systemctl status firewalld 或者 firewall-cmd --state

# 停止
systemctl stop firewalld
# 禁用
systemctl disable firewalld
a. 查看命令
  • firewall-cmd --version 查看版本
  • firewall-cmd --help 查看帮助
  • firewall-cmd --state 获取firewalld状态
  • firewall-cmd --get-active-zones 查看区域信息
  • firewall-cmd --get-zone-of-interface=ens33 查看指定接口所属区域
  • firewall-cmd --get-zones 获取支持的区域列表
  • firewall-cmd --get-services 获取所有支持的服务
  • firewall-cmd --get-icmptypes 获取所有支持的ICMP类型
b. 更新防火墙规则
  • firewall-cmd --reload 在不改变当前连接状态的条件下重新加载防火墙
  • firewall-cmd --complete-reload 当前连接的状态信息将会丢失
c. 查看设置区域zone
  • firewall-cmd --get-zones 列出所有支持的zone
  • firewall-cmd --get-default-zone 列出默认的zone
  • firewall-cmd --get-active-zones 获取活动的区域
  • firewall-cmd --get-zone-of-interface=<interface> 根据接口获取区域
  • firewall-cmd --set-default-zone=public 设置默认的zone区域,立即生效无需重启
  • firewall-cmd [–zone=<zone>] –list-all 输出区域<zone> 全部启用的特性。如果省略区域,将显示默认区域的信息。
# 根据ens33接口获取活动区域
firewall-cmd --get-zone-of-interface=ens33

# 显示默认区域中的启动的全部特性
firewall-cmd --list-all

# 显示work区域中的启动的全部特性
firewall-cmd --zone=work --list-all

d. zone中的端口和接口
  • firewall-cmd --zone=public --add-interface=ens33 向区域中添加接口 ,永久生效再加上--permanent 然后reload防火墙
  • firewall-cmd [--zone=<zone>] --query-interface=<interface> 查询区域中是否包含某个接口
  • firewall-cmd --zone=public --list-ports 查看区域端口
  • firewall-cmd --zone=public --add-port=8080/tcp 向区域中添加端口
  • firewall-cmd [--zone=<zone>] --change-interface=<interface> 修改区域中的接口
  • firewall-cmd [--zone=<zone>] --remove-interface=<interface> 从区域中移除一个接口
e. zone中的服务
  • firewall-cmd --zone=work --add-service=smtp 向zone中添加服务
  • firewall-cmd --zone=work --remove-service=smtp 在zone中移除服务
f. 应急模式
  • firewall-cmd --query-panic 查询应急模式
  • firewall-cmd --panic-off 启用应急模式阻断所有网络连接
  • firewall-cmd --panic-on 关闭应急模式

firewall-cmd --panic-off和firewall-cmd --panic-on实际就是断网和连网

g. Rich 规则

当基本firewalld语法规则不能满足要求时,可以使用以下更复杂的规则。rich-rules 富规则:功能强,更细致、更详细的防火墙规则策略,它的优先级在所有的防火墙策略中也是最高的。

  • man 5 firewalld.richlanguage 查看帮助
  • firewall-cmd --list-rich-rules 列出所有富规则
  • firewall-cmd [--zone=zone] --query-rich-rule=’rule’ 检查某一富规则是否存在
  • firewall-cmd [--zone=zone] --remove-rich-rule=’rule’ 移除某一富规则
  • firewall-cmd [--zone=zone] --add -rich-rule=’rule’ 新建富规则
# 允许来自主机 192.168.0.14 的所有 IPv4 流量
firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address=192.168.0.14 accept' 
# 拒绝来自主机 192.168.1.10 到 22 端口的 IPv4 的 TCP 流量
firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.1.10" port protocol=tcp port=22 reject'
# 每分钟允许2个新连接访问ftp服务 
firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept' 
h. Firewalld过滤数据包的原则

对于一个接收到的请求具体使用哪个zone,firewalld是通过三种方式来判断的:

  • 如果一个客户端数据包的源IP 地址匹配 zone 的 sources,那么该 zone 的规则就适用这个客户端。注:一个源只能属于一个zone,不能同时属于多个zone。
  • 如果一个客户端数据包进入服务器的某一个接口(如eth0)区配zone的interfaces,则么该 zone 的规则就适用这个客户端。注:一个接口只能属于一个zone,不能同时属于多个zone。
  • 如果上述两个原则都不满足,那么缺省的 zone 将被应用。

这三个方式的优先级按顺序依次降低,也就是说如果按照source可以找到就不会再按interface去找,如果前两个都找不到才会使用第三个默认区域。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/265727.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Nginx 安装(源码编译安装)

Nginx服务器提供了Windows和Linux版本&#xff0c;本文为Linux环境下Nginx服务器的详细安装步骤。 安装环境&#xff1a; Linux服务器操作系统&#xff1a;CentOs 8.1.1911 Nginx版本&#xff1a;1.21.4&#xff08;Linux&#xff09; 安装步骤&#xff1a; 1、安装GCC、aut…

过度加大SSD内部并发何尝不是一种伤害-part1

之前存储随笔有发布过一篇关于如何通过IO并发度提升性能相关的文章&#xff1a; 扩展阅读&#xff1a;SSD基础架构与NAND IO并发问题探讨 SSD整体优化策略就是要低延迟&#xff0c;高带宽&#xff0c;增加NAND的并发度。 本文&#xff0c;我们从另外一个角度来做一些讨论。现…

MySQL代码笔记

欢迎来到Cefler的博客&#x1f601; &#x1f54c;博客主页&#xff1a;那个传说中的man的主页 &#x1f3e0;个人专栏&#xff1a;题目解析 &#x1f30e;推荐文章&#xff1a;题目大解析&#xff08;3&#xff09; 目录 &#x1f449;&#x1f3fb;表的增删查改创建表格&…

TLC2543(12位A/D转换器)实现将输入的模拟电压显示到数码管上

代码&#xff1a; #include <reg51.h> #define uchar unsigned char #define uint unsigned int// 数码管0-9 unsigned char seg[] {0x3F, 0x06, 0x5B, 0x4F, 0x66, 0x6D, 0x7D, 0x07, 0x7F, 0x6F}; sbit SDO P1^0; sbit SDI P1^1; sbit CS P1^2; sbit CLK P1^3; s…

Linux(一)Linux理论

文章目录 一、Linux概述1.1 体系结构1.1.1 Linux内核1.1.2 用户态与内核态1.1.3 交换空间1.1.4 CLI和GUI 1.2 开机启动过程1.3 系统运行级别1.4 Linux进程1.4.1 Linux进程通信的方法1.4.2 Linux进程状态 二、文件2.1 Linux文件系统2.2 目录结构2.3 绝对路径和相对路径2.4 日志文…

增量式旋转编码器在STM32平台上的应用

背景 旋钮是仪器仪表上一种常见的输入设备&#xff0c;它的内部是一个旋转编码器&#xff0c;知乎上的这篇科普文章对其工作原理做了深入浅出的介绍。 我们公司的功率分析仪的前面板也用到了该类设备&#xff0c;最近前面板的MCU从MSP430切换成了STM32&#xff0c;因此我要将…

HarmonyOS 多态样式

还记得我们css中有 按压 失去焦点 点击后 正常状态 的各种样式设置 那么作为前端开发 TS JS的改版 harmonyos自然也有 这里 我们编写代码如下 Entry Component struct Index {build() {Row() {Column() {TextInput()TextInput().stateStyles({//正常状态normal: {.background…

Pytorch项目,肺癌检测项目之四

# 安装图像处理 的两个包 simpleITK 和 ipyvolume # 安装缓存相关的两个包 diskcache 和 cassandra-driver import gzip from diskcache import FanoutCache, Disk from cassandra.cqltypes import BytesType from diskcache import FanoutCache,Disk,core from diskcache…

计算机组成原理第6章-(计算机的运算方法)【上】

机器数与真值 把符号“数字化”的数称为机器数,而把带“+”、“-”符号的数称为真值。 原码表示法 原码是机器数中最简单的一种表示形式,0表示整数,1表示负数。 约定整数的符号位和数值位之间用“逗号”隔开。 在原码中,0有两种表示形式:“+0”和“-0”是不一样的。 反…

C++内存管理和模板初阶

C/C内存分布 请看代码&#xff1a; int globalVar 1; static int staticGlobalVar 1; void Test() {static int staticVar 1;int localVar 1;int num1[10] { 1, 2, 3, 4 };char char2[] "abcd";const char* pChar3 "abcd";int* ptr1 (int*)mallo…

7.5组合总和②(LC40-M)

算法&#xff1a; 相比于上一题&#xff0c;数组candidates有重复元素&#xff0c;而要求不能有重复的组合&#xff0c;所以相对于39.组合总和 (opens new window)难度提升了不少。 如何去重&#xff1f; 先把candidates排序&#xff0c;让重复的元素都在一起 单层递归时&a…

二叉搜索树 --- C++实现

目录 1.二叉搜索树的概念 2.二叉搜索树的操作 3. 二叉树的实现 4.二叉搜索树的应用 5. 二叉树的性能分析 6. 二叉树进阶练习题 1.二叉搜索树的概念 二叉搜索树又称二叉排序树&#xff0c;它或者是一棵空树&#xff0c;或者是具有以下性质的二叉树&#xff1a; 若它的左…

LDO频率补偿

频率补偿 为了维持系统稳定的条件&#xff0c;一般的做法是建立一个低频几点&#xff0c;并把第二个极点放在单位增益频率 f0db 附近。在线性稳压器中&#xff0c;这两个极点是输出极点Po和误差放大器极点Pe。在确定了哪一个极点应该是主极点后&#xff0c;补偿的目的就是理解系…

(Mac上)使用Python进行matplotlib 画图时,中文显示不出来

【问题描述】 ①报错确缺失字体&#xff1a; ②使用matplotlib画图&#xff0c;中文字体显示不出来 【问题思考】 在网上搜了好多&#xff0c;关于使用python进行matplotlib画图字体显示不出来的&#xff0c;但是我试用了下&#xff0c;对我来说都没有。有些仅使用于windows系…

Laravel框架使用phpstudy本地安装的composer用Laravel 安装器进行安装搭建

一、首先需要安装Laravel 安装器 composer global require laravel/installer 二、安装器安装好后&#xff0c;可以使用如下命令创建项目 laravel new sys 三、本地运行 php artisan serve 四、 使用Composer快速安装Laravel5.8框架 安装指定版本的最新版本&#xff08;推荐&a…

2023 年第四季度 Chainlink 产品更新

在回顾 2023 年时&#xff0c;可以明显看到 Chainlink 生态系统所取得的进步是非常显著的。 我们以三个优先事项开始了这一年&#xff1a; 推出了 CCIP&#xff08;我们的跨链互操作协议&#xff09;&#xff0c;使得跨链交易和活动更加安全。推出数据流&#xff08;Data Str…

管理 Jenkins 详细指南

目录 系统配置 安全 状态信息 故障 排除 工具和操作 系统配置 系统&#xff0c;配置全局设置和路径&#xff0c;端口更改&#xff0c;下载地址等。 工具&#xff0c;配置工具、其位置和自动安装程序。 插件&#xff0c;添加、删除、禁用或启用可以扩展 Jenkins 功能的插…

<JavaEE> 网络编程 -- 网络编程和 Socket 套接字

目录 一、网络编程的概念 1&#xff09;什么是网络编程&#xff1f; 2&#xff09;网络编程中的基本概念 1> 收发端 2> 请求和响应 3> 客户端和服务端 二、Socket套接字 1&#xff09;什么是“套接字”&#xff1f; 2&#xff09;Socket套接字的概念 3&…

跨平台应用程序开发软件,携RAD Studio 12新版上线

RAD Studio 是一款专为程序员而准备的跨平台应用程序开发软件&#xff0c;内置Delphi和CBuilder这两种开发工具&#xff0c;另外还提供了新的C功能&#xff0c;扩展了对ExtJS的RAD服务器支持&#xff0c;增强了对vcL的高dpi支持&#xff0c;提高了firemonk (FMX)的质量等等&…

长知识,Session强制账号下线,限制账号登录!

在Web开发中&#xff0c;会话管理是确保用户连续、安全地访问应用程序的关键。PHP中的会话机制&#xff08;session&#xff09;为我们提供了这种功能。通过会话&#xff0c;我们可以跟踪用户的状态&#xff0c;存储和检索用户特定的数据。然而&#xff0c;有时候我们需要强制用…